Spis treści
Ochrona danych osobowych, RODO
W zakresie ochrony danych osobowych (czyli danych pozwalających na zidentyfikowanie osoby fizycznej) reprezentujemy zarówno osoby, których dane są przetwarzane niezgodnie z obowiązującymi przepisami (m.in. w zakresie wnoszenia pisemnego, umotywowanego żądania zaprzestania przetwarzania danych), jak i podmioty będące administratorami danych osobowych w zakresie realizacji obowiązków wynikających z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.) (czyli „RODO” lub „Rozporządzenie RODO”) oraz polskiej ustawy o ochronie danych osobowych.
Co robimy?
Pomagamy w szczególności w zakresie:
- przygotowania polityk bezpieczeństwa oraz tworzenia polityk prywatności,
- przygotowywania i weryfikacji umów regulujących kwestie danych osobowych, w szczególności umów powierzenia przetwarzania danych oraz umów o współadministrowanie danymi osobowymi,
- przygotowania obowiązkowej dokumentacji związanej z przetwarzaniem danych osobowych (rejestru czynności przetwarzania danych, wykazu powierzeń przetwarzania danych, sprzeciwu administratora danych wobec podpowierzenia, rejestru naruszeń ochrony danych, polityki czystego biurka zgodnej z RODO, zawiadomienia o wycieku danych, rejestru osób, które zażądały udostępnienia swoich danych),
- wypełniania obowiązku informacyjnego wobec osoby, której dane są przetwarzane, przygotowanie klauzuli informacyjnej o przetwarzaniu danych, klauzuli informacyjnej o prawie cofnięcia zgody, klauzuli informacyjnej dla osoby, której dane dotyczą, o przekazaniu jej danych do państwa trzeciego, klauzuli informacyjnej w przypadku współadministrowania danymi, klauzuli informacyjnej o zautomatyzowanym przetwarzaniu danych, w tym profilowaniu, klauzuli informacyjnej dla pracownika, klauzuli informacyjnej dla współpracowników prowadzących jednoosobową działalność gospodarczą
- ochrony tzw. wrażliwych danych osobowych, czyli szczególnych kategorii danych osobowych
- przygotowania i weryfikowania wzorów zgód na przetwarzanie danych osobowych oraz na podpowierzenie danych
- przygotowywania umów o świadczenie usług przez inspektora ochrony danych osobowych
- przeprowadzenia audytów prawidłowości przetwarzania danych osobowych w przedsiębiorstwach
- przeprowadzania szkoleń z zakresu RODO
- przygotowania pism w przedmiocie zawiadomienia PUODO o powołaniu lub odwołaniu inspektora ochrony danych osobowych
- dokumentowania oceny ryzyka wpływu projektu biznesowego na prywatność
- sporządzania pism zawiadamiających PUODO o naruszeniu ochrony danych osobowych
- bieżącego doradztwa odnośnie zasad przetwarzania danych osobowych zgodnie z RODO
- przygotowania przedsiębiorcy do kontroli ze strony PUODO w zakresie prawidłowości przetwarzania danych osobowych
- świadczymy usługę asysty prawnika podczas kontroli PUODO w firmie
Dlaczego warto skorzystać z naszych usług?
- pomagamy prawidłowo wykonywać obowiązki wynikające z RODO w zakresie ochrony danych osobowych
- minimalizujemy ryzyko stwierdzenia naruszenia ochrony danych przez PUODO
- odpowiednio zabezpieczamy interesy stron w umowach powierzenia przetwarzania danych
Co to oznacza RODO?
RODO jest to skrót stosowany do określenia Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Jakie regulacje obejmuje RODO a jakie ustawa o ochronie? danych osobowych
RODO obejmuje regulacje dotyczące podstaw prawnych i zasad przetwarzania danych osobowych osób fizycznych. Natomiast ustawa o ochronie danych osobowych reguluje:
1. podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych oraz tryb zawiadamiania o jego wyznaczeniu;
2. warunki i tryb akredytacji podmiotu uprawnionego do certyfikacji w zakresie ochrony danych osobowych, podmiotu monitorującego kodeks postępowania oraz certyfikacji;
3. tryb zatwierdzenia kodeksu postępowania;
4. organ właściwy w sprawie ochrony danych osobowych;
5. postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych;
6. tryb europejskiej współpracy administracyjnej;
7. kontrolę przestrzegania przepisów o ochronie danych osobowych;
8. odpowiedzialność cywilną za naruszenie przepisów o ochronie danych osobowych i postępowanie przed sądem;
9. odpowiedzialność karną i administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych.
Przykłady danych osobowych
Przykłady informacji, które stanowią dane osobowe to:
· imię i nazwisko
· adres zamieszkania
· numer dowodu tożsamości
· numer PESEL
· wizerunek
· adres IP komputera
· informacje o mandatach karnych, skazaniach (szczególna kategoria danych osobowych)
· adres e-mail pozwalający na identyfikację konkretnej osoby
· informacje o stanie zdrowia (szczególna kategoria danych osobowych)
Kim jest administrator danych osobowych?
Administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Kto jest podmiotem przetwarzającym?
Podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Jakie są obowiązki administratora danych osobowych?
Administrator danych osobowych zobowiązany jest:
a) do przetwarzania danych osobowych zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (“zgodność z prawem, rzetelność i przejrzystość”);
b) zbierać dane osobowe w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie przetwarzać ich dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami (“ograniczenie celu”);
c) przetwarzać dane osobowe adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (“minimalizacja danych”);
d) przetwarzać dane osobowe prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (“prawidłowość”);
e) do przechowywania w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą (“ograniczenie przechowywania”);
f) przetwarzać dane osobowe w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym zapewnić ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (“integralność i poufność”).
Administratora danych osobowych także wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Wdrożenie odpowiednich środków technicznych następuje z uwzględnieniem charakteru, zakresu, kontekstu i celu przetwarzania. Administrator musi mieć na względzie także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze. Środki techniczne i organizacyjne powinny być w razie potrzeby poddawane przeglądom i uaktualniane.
Kiedy potrzebna jest umowa powierzenia przetwarzania danych osobowych?
Jeżeli przetwarzanie ma być dokonywane w imieniu administratora przez podmiot przetwarzający przetwarzanie danych osobowych odbywa się na podstawie umowy powierzenia przetwarzania danych osobowych.
Umowa określa przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
Ochrona danych osobowych, a ustawa o ochronie informacji niejawnych
Ustawa o ochronie informacji niejawnych określa zasady ochrony informacji, których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej albo byłoby z punktu widzenia jej interesów niekorzystne, także w trakcie ich opracowywania oraz niezależnie od formy i sposobu ich wyrażania. Do danych osobowych, które stanowią informacje niejawne nie stosuje się przepisów o ochronie danych osobowych, a przepisy ustawy o ochronie informacji niejawnych.
Czego nie wolno w związku z RODO?
RODO m.in. zabrania przetwarzania danych osobowych jeżeli brak jest prawidłowej podstawy prawnej ich przetwarzania. Do podstaw prawnych uprawniających administratora do przetwarzania danych zalicza się następujące przypadki: :
1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.